Sigstore, služba ověřování kryptografického kódu od společností Red Hat a Google

Red Hat a Google spolu s Purdue University nedávno oznámily založení projektu Sigstorejehož cílem je vytvořit nástroje a služby pro ověřování softwaru pomocí digitálních podpisů a udržovat veřejný registr transparentnosti. Projekt bude vyvinut pod záštitou neziskové organizace Linux Foundation.

Navrhovaný projekt zvýšit bezpečnost distribučních kanálů softwaru a chránit před cílenými útoky nahradit softwarové komponenty a závislosti (dodavatelský řetězec). Jedním z klíčových bezpečnostních problémů v softwaru s otevřeným zdrojovým kódem je obtížnost ověření zdroje programu a ověření procesu sestavení.

Např k ověření integrity verze, většina projektů používá hash, Informace potřebné k ověřování se však často ukládají v nechráněných systémech a ve sdílených úložištích kódu, což je výsledkem kompromisu, který může útočníkům nahradit soubory nezbytné k ověření, a aniž by vzbudil podezření, zavést škodlivé změny.

Pouze malá část projektů používá digitální podpisy k distribuci verzí kvůli složitosti správy klíčů, distribuce veřejných klíčů a odvolání kompromitovaných klíčů. Aby ověření mělo smysl, musíte také zorganizovat spolehlivý a bezpečný proces distribuce veřejných klíčů a kontrolních součtů. I s digitálním podpisem mnoho uživatelů ignoruje ověření, protože je potřeba čas na prostudování procesu ověření a pochopení toho, kterému klíči je důvěryhodný.

O společnosti Sigstore

Sigstore je propagován jako analogový Let's Encrypt pro kód, strposkytování certifikátů pro digitální podepisování kódu a nástrojů k automatizaci ověřování. Díky Sigstore mohou vývojáři digitálně podepisovat artefakty související s aplikacemi, jako jsou spouštěcí soubory, obrázky kontejnerů, manifesty a spustitelné soubory. Funkce Sigstore spočívá v tom, že materiál použitý k podepisování se odráží ve veřejném záznamu chráněném před změnami, který lze použít k ověření a auditu.

Místo konstantních kláves Sigstore používá krátkodobé pomíjivé klíče, Jsou generovány na základě pověření potvrzených poskytovateli OpenID Connect (v době generování klíčů pro digitální podpis je vývojář identifikován prostřednictvím poskytovatele OpenID s e-mailovým odkazem). Autenticita klíčů se kontroluje oproti centralizovanému veřejnému záznamu, což vám umožní zajistit, aby autor podpisu byl přesně tím, za koho se vydává, a že podpis byl vytvořen stejným účastníkem, který byl odpovědný za předchozí verze.

Sigstore poskytuje službu připravenou k použití a sadu nástrojů, které vám umožní implementovat podobné služby do vašeho počítače. Tato služba je zdarma pro všechny vývojáře a dodavatele softwaru a je implementována na neutrální platformě: Linux Foundation. Všechny komponenty služby jsou open source, napsané v jazyce Go a jsou distribuovány pod licencí Apache 2.0.

Z vyvíjených komponent je možné poznamenat:

  • Rekor: implementace registru pro ukládání digitálně podepsaných metadat které odrážejí informace o projektech. Aby byla zaručena integrita a ochrana před zkreslením dat, je zpětně použita stromová struktura „Tree Merkle“, kde každá větev díky hašovací funkci ověří všechna vlákna a podkladové komponenty.
  • Fulcio (SigStore WebPKI) systém pro vytváření certifikačních autorit (Root-CA), které vydávají krátkodobé certifikáty na základě ověřených e-mailů prostřednictvím OpenID Connect. Životnost certifikátu je 20 minut a během této doby musí mít vývojář čas na vygenerování digitálního podpisu (pokud se certifikát v budoucnu dostane do rukou útočníka, jeho platnost vyprší).
  • Сosign (Container Signing) sada nástrojů pro generování podpisů v kontejnerech, ověřte podpisy a umístěte podepsané kontejnery do úložišť vyhovujících OCI (Open Container Initiative).

Nakonec, pokud máte zájem dozvědět se více o tomto projektu, můžete si přečíst podrobnosti Na následujícím odkazu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.